问题标签 [elastalert]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
elasticsearch - 未登录 Kibana 的弹性搜索警报
如果 kibana 5 分钟内没有登录,则发出警报。
我尝试了扁平线警报。它会发出警报,但不会告诉哪个 IP 已停止发送日志。假设有 4 个 IP 向 Kibana 发送日志,如果我使用 query_key 作为 ipaddress 创建一个扁平警报,它会被正确触发。但是 slack 中的警报详细信息并没有说明日志停止到达 Kibana 的 IP。我将不得不去 Kibana 并手动运行每个 IP 的查询以找出正确的 IP。所以,我正在寻找扁平线警报的替代方案。
此警报会正确触发,但不会显示哪些 IP 日志已停止。因此,我正在寻找一种替代 flatline 日志警报的方法来处理 Kibana 中无日志的情况。任何帮助都会很棒。
docker - 在 docker-compose.yml 中向 Kibana Image 添加插件
我是使用 docker 并尝试将 elastalert 插件添加到我的 kibana 映像的新手。我正在使用 Kibana 7.0.1 和 Elasticsearch 7.0.1 并尝试使用来自 github 的 elastalert 7.0.1 kibana 插件。当我docker-compose up使用下面的 docker-compose.yml 文件运行时,它似乎确实安装了插件,但实际上并没有启动 kibana。我错过了另一个命令吗?谢谢
elasticsearch - 磁盘空间的 Elastalert 规则
我正在使用 metricbeat 监控磁盘空间使用情况。
现在我想根据磁盘大小通过 Elastalert 发出警报。
使用的磁盘空间超过 50% 时发出警报
使用的磁盘空间超过 70% 时发出警报
使用的磁盘空间超过 80% 时发出警报
当磁盘空间使用超过 95% 时发出警报
使用的磁盘空间超过 100% 时发出警报
现在这里的问题是,当它超过某些阈值(50、70、80、95、100)时,应该只发出一次警报
因此,如果已经发送超过 50% 标记的警报,则不应发送 50.1% / 50.2% / ... / 69.9% 的警报
只有在超过 70% 时才应发出下一个警报。
初步方法:
我计划使用“任何规则”将磁盘空间字段匹配到不同的值和警报。但这也可能会产生错误警报,原因是如果存储在过去 1 小时内以 50.0% 饱和(考虑没有新数据写入数据库),如果我们每 10 分钟评估一次规则,它将在那一小时内发出 6 次警报. 我也不想使用 realert,因为我不知道要等多久。
方法 v1:
制作 n 个规则配置,其中 n 是不同条件的数量
这种方法并不理想,因为我们需要重复警报。示例 -当使用率降至 50% 以下,然后再次超过 50% 时,需要发出警报。
方法 v2: 可以使用两个规则的组合。(仅考虑 50%)
规则 1:检查磁盘空间 >= 50,发送邮件,启用规则 2 并使用命令禁用自身
规则 2:检查磁盘空间 <50,启用规则 1,使用命令禁用自身。
有更好的方法吗?
elasticsearch - 在索引上检测到特定数量的分片时发出警报
我想检测每个索引的分片数量何时超过某个阈值。
我使用 Metricbeat 和 Elasticsearch 模块从索引中检索指标数据,并使用 ElastAlert 在每个索引检测到一定数量的分片时发送警报。
起初,我认为我可以以某种方式使用_statsAPI 或_settings端点来访问每个索引的分片数量并在这个数字上运行 ElastAlert。但是,据我所知,ElastAlert 仅扫描_doc索引部分,而不扫描_statsor _settings。
正如 Metricbeat 的 Elasticsearch 模块的文档中所写,有一个elasticsearch.cluster.stats.indices.shards.count字段列出了整个集群的分片数量:
elasticsearch.cluster.stats.indices.shards.count
类型:长集群中的分片总数。
我想知道除了每个索引之外是否有类似的东西?如果没有,可能的解决方法是什么?
elastalert - 使用 Elast Alert 对文档中两个字段的值总和进行警报
我想提醒两个字段的总和。每个文档将只有两个字段之一。例如:{“number1”:30}
{ "number2": 20 }
以上是同一索引下的两个文档,如果过去一小时的 sum(sum(number1),sum(number2) 小于某个值,我想提醒一下
我尝试了以下方法:
elasticsearch - 尝试运行 Elasticalert 时出现“没有名为错误的模块”
当我尝试运行 elastalert
我收到以下错误。
我的环境是 ubuntu 18 elasticsearch 6.3.0
elastalert - 如何修复“ImportError:没有名为错误的模块”
我从 slack 工具安装了 elastalertgit clone https://github.com/Yelp/elastalert.git并与它集成,但是当我尝试使用命令运行 elastalertpython -m elastalert.elastalert --verbose --rule example_frequency.yaml时,出现此错误:
我希望在松弛工具中获得警报的输出
elastalert - ElastAlert 和更改电子邮件内容
我刚刚开始使用 ElastAlert,我喜欢它。我有一个应用程序启动并运行,它基本上会向我发送电子邮件。我现在的问题是电子邮件包含一大堆我想删除的不必要信息。
我环顾四周,但没有找到任何方法。有没有一种简单的方法可以更改电子邮件的内容以使其更简单?例如准确指定我想查看哪些字段。
此致!并提前感谢您。
python - 运行 python 命令时在 ES 版本 7.3.2 上使用 elastalert 时出现问题
运行查询时出错:RequestError(400, 'parsing_exception', "[term] 查询不支持多个字段,找到 [some_field] 和 [timestamp_format_expr]")
elasticsearch - 即使 realert 设置为 60 分钟,ElastAlert 也会针对某个规则每 5 分钟触发一次
我有一个类型为频率的 elastalert。如果在 60 分钟内点击次数为 1000 或更多,则应触发警报。问题是,当它在 5-6 分钟内达到 1000 次点击时,它会触发警报,而不是等待整个 60 分钟的时间。我希望它在 60 分钟的时间结束后发出警报。我尝试添加一个 realert 60 分钟,但它仍然不起作用。只有在 60 分钟期限结束时才触发警报需要做什么?